Posiadanie dwuskładnikowego uwierzytelniania (2FA), unikanie podejrzanych linków oraz dbanie o czystość systemu przed złośliwym oprogramowaniem może nie wystarczyć, by uchronić konto PlayStation Network przed kradzieżą. Eksperci z serwisu Niebezpiecznik ostrzegają przed zaskakująco prostą metodą, w której pracownicy wsparcia technicznego Sony – w wyniku dziurawych procedur – nieświadomie (lub świadomie, ponieważ i na takie przypadki wskazują doniesienia z przeszłości) pomagają cyberprzestępcom w przejmowaniu profili graczy.
Wsparcie techniczne czy wsparcie dla złodziei?
Opisany przez Niebezpiecznik przypadek pokazuje, że ofiarą zuchwałego przejęcia konta można paść nawet wzorowo dbając o bezpieczeństwo i trzymając się z daleka od podejrzanych stron oraz łączy. Do przeprowadzenia skutecznego ataku przestępcy wcale nie potrzebują zaawansowanych narzędzi hakerskich. Cały proceder opiera się na wykorzystaniu rażących luk w procesie weryfikacji tożsamości klienta przez support PlayStation.
Jak napisano, mechanizm oszustwa wymaga od napastnika zdobycia zaledwie dwóch elementów:
- Publicznego identyfikatora ofiary (PSN ID), który w ekosystemie Sony jest całkowicie jawny i łatwy do ustalenia;
- Jednej dodatkowej informacji, którą może być zarówno pełny numer jakiejkolwiek starej transakcji dokonanej za pośrednictwem sklepu PlayStation Store lub ostatnie 4 cyfry karty płatniczej, która kiedykolwiek była przypisana do tego profilu.
Te wrażliwe dane weryfikacyjne przestępcy pozyskują najczęściej z masowych wycieków baz danych z innych serwisów internetowych. W przypadku streamerów i twórców internetowych źródłem wpadki bywa też przypadkowe pokazanie ekranu ustawień na żywo podczas transmisji.
Dysponując tymi podstawowymi informacjami, oszust dzwoni bezpośrednio na infolinię wsparcia technicznego Sony lub korzysta z czatu z jednym z pracowników supportu. Podanie loginu i numeru starego zamówienia okazuje się dla konsultantów wystarczającym dowodem na to, że rozmawiają z prawowitym właścicielem konta, w związku z czym godzą się na zmianę przypisanego do profilu adresu e-mail i, co w tej sytuacji najważniejsze, całkowite wyłączenie weryfikacji dwuetapowej (czyli 2FA). Co to oznacza? Ano to, iż osoba, do której należy dane konto PSN, skutecznie traci do niego dostęp, wliczając w to przypisane gry, przechowywane w chmurze zapisy gier oraz pozostałe w portfelu środki.
Chociaż uniknięcie utraty konta w ten sposób może być niezwykle trudne, tak eksperci z Niebezpiecznika przekonują, iż istnieje szereg czynności, które możemy podjąć celem zminimalizowania ryzyka utraty naszej własności.
Zasugerowano, aby kategorycznie nie chwalić się w sieci (np. na grupach dla graczy lub w konwersacjach ze znajomymi) zdjęciami paragonów, faktur czy screenami potwierdzeń zakupów z widocznymi numerami zamówień. Dobrą praktyką może okazać się także podpinanie do konta PSN wyłącznie jednorazowych kart płatniczych, aby ich stałe dane nie figurowały w historii. Aby się zabezpieczyć na wypadek incydentu, warto mieć pod ręką fizyczny numer seryjny konsoli, na której zakładałeś swoje konto, oraz listę unikalnych kodów zapasowych 2FA, które mogą pomóc w potwierdzeniu tożsamości podczas ewentualnego sporu z Sony.
Jak już zostało wspomniane we wstępie i co można wywnioskować na podstawie tytułu artykułu, opisywany problem nie jest niczym nowym. O destrukcyjnych działaniach supportu PlayStation wiemy już od połowy ubiegłego roku, a ostatni raz przypominaliśmy o nich na początku marca. Wygląda na to, iż mimo upływu wielu miesięcy Sony nadal nie odniosło się do tego problemu, co zdaje się sugerować, że japońska korporacja ma los użytkowników w głębokim poważaniu.
0 komentarzy